L’autorité italienne de la concurrence, l’AGCM, a ouvert une enquête formelle sur la startup chinoise d’intelligence artificielle DeepSeek pour avoir prétendument omis d’avertir de manière adéquate les utilisateurs du risque de « hallucinations » – des situations où le modèle d’IA génère des informations inexactes, trompeuses ou fabriquées en réponse aux demandes des utilisateurs, selon Reuters.
Violations de la conformité au RGPD
L’Autorité italienne de protection des données (Garante) a imposé une interdiction d’urgence à DeepSeek AI après avoir constaté de multiples violations du RGPD. Malgré l’affirmation de DeepSeek selon laquelle « la législation européenne ne s’applique pas à nous », l’autorité a découvert que l’entreprise collectait des données d’utilisateurs italiens tout en ne respectant pas les exigences de conformité de base. L’enquête a révélé plusieurs infractions spécifiques, notamment :
•Absence de politique de confidentialité en italien, en violation des principes de transparence
•Informations insuffisantes sur les activités de traitement des données et la base légale
•Stockage de données personnelles sur des serveurs en Chine sans garanties appropriées pour les transferts internationaux de données
•Aucun représentant désigné dans l’UE comme l’exige la réglementation pour les entreprises non européennes traitant les données de citoyens européens
•Refus de coopérer avec les autorités de contrôle, en violation de l’article 31 du RGPD
Les violations pourraient entraîner des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, avec des conséquences pénales potentielles en cas de non-respect de la décision du Garante. Cette affaire met en lumière le défi croissant de l’application du RGPD aux entreprises d’IA étrangères qui tentent d’opérer en Europe tout en revendiquant une immunité vis-à-vis de sa juridiction. Les modèles d’IA de DeepSeek ont été trouvés avec des taux d’hallucination alarmants, des recherches montrant que le modèle DeepSeek R1 présente un taux d’hallucination de 14,3 %, soit près de quatre fois supérieur à celui de son prédécesseur DeepSeek V3 (3,9 %). Ces hallucinations—des cas où l’IA fabrique de fausses informations tout en les présentant comme factuelles—posent de graves risques, notamment la diffusion de désinformation, des décisions commerciales erronées, l’exposition de la propriété intellectuelle et des violations de conformité réglementaire. Les tests de sécurité ont révélé des statistiques encore plus préoccupantes, AppSOC rapportant que DeepSeek produisait des informations hallucinées 81 % du temps lors de leurs évaluations. De multiples évaluations de sécurité ont mis en évidence des failles critiques dans la sécurité des modèles de DeepSeek. Des chercheurs de Cisco ont découvert que DeepSeek R1 affichait un taux d’échec de 100 % lorsqu’il était testé avec des invites nuisibles du jeu de données HarmBench, ne montrant aucune résistance aux tentatives de contournement algorithmique. Le modèle a également démontré des problèmes bizarres d’auto-identification, affirmant à tort être « Claude, créé par Anthropic » ou déclarant « Mes directives sont fixées par OpenAI »—deux affirmations totalement fausses qui soulignent des problèmes fondamentaux de fiabilité. Ces vulnérabilités semblent provenir des méthodes d’entraînement économiques de DeepSeek, qui auraient pu compromettre des mécanismes de sécurité essentiels dans la quête d’un développement rapide et de coûts réduits.
Problèmes de stockage des données chinoises
Le stockage des données des utilisateurs de DeepSeek sur des serveurs chinois présente d’importantes préoccupations en matière de confidentialité et de sécurité pour les utilisateurs de l’UE. L’entreprise semble collecter de nombreuses informations personnelles—including historiques de conversations, invites saisies, métadonnées des appareils, adresses IP et analyses comportementales—tout en stockant ces données en Chine sans mettre en œuvre les garanties exigées par le RGPD pour les transferts internationaux de données. Cette pratique est particulièrement problématique car la Chine n’est pas considérée comme offrant une protection adéquate des données selon les normes de l’UE, et les lois chinoises sur la sécurité nationale pourraient potentiellement obliger DeepSeek à remettre les données des utilisateurs européens aux autorités gouvernementales.
Plusieurs autorités européennes de protection des données ont lancé des enquêtes sur ces pratiques. Le Garante italien a ordonné à DeepSeek de bloquer l’accès à son application R1 en Italie après que l’entreprise n’a pas répondu aux préoccupations concernant ses pratiques de stockage des données. La Belgique, les Pays-Bas, la France et l’Irlande ont également lancé des demandes d’information afin de déterminer si la collecte de données par DeepSeek enfreint le RGPD en transférant des données personnelles vers la Chine. La politique de confidentialité de DeepSeek ne mentionne notamment aucune Clause Contractuelle Type ni aucun autre mécanisme juridique requis pour permettre des transferts légaux de données de l’UE vers la Chine, ce qui soulève de sérieuses questions quant à l’engagement de l’entreprise envers les normes européennes de protection des données.
L’Italie ouvre une enquête sur l’entreprise d’IA DeepSeek en raison des risques d’hallucination
L’autorité italienne de la concurrence, l’AGCM, a ouvert une enquête formelle sur la startup chinoise d’intelligence artificielle DeepSeek pour avoir prétendument omis d’avertir de manière adéquate les utilisateurs du risque de « hallucinations » – des situations où le modèle d’IA génère des informations inexactes, trompeuses ou fabriquées en réponse aux demandes des utilisateurs, selon Reuters.
Violations de la conformité au RGPD
L’Autorité italienne de protection des données (Garante) a imposé une interdiction d’urgence à DeepSeek AI après avoir constaté de multiples violations du RGPD. Malgré l’affirmation de DeepSeek selon laquelle « la législation européenne ne s’applique pas à nous », l’autorité a découvert que l’entreprise collectait des données d’utilisateurs italiens tout en ne respectant pas les exigences de conformité de base. L’enquête a révélé plusieurs infractions spécifiques, notamment :
•Absence de politique de confidentialité en italien, en violation des principes de transparence
•Informations insuffisantes sur les activités de traitement des données et la base légale
•Stockage de données personnelles sur des serveurs en Chine sans garanties appropriées pour les transferts internationaux de données
•Aucun représentant désigné dans l’UE comme l’exige la réglementation pour les entreprises non européennes traitant les données de citoyens européens
•Refus de coopérer avec les autorités de contrôle, en violation de l’article 31 du RGPD
Les violations pourraient entraîner des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, avec des conséquences pénales potentielles en cas de non-respect de la décision du Garante. Cette affaire met en lumière le défi croissant de l’application du RGPD aux entreprises d’IA étrangères qui tentent d’opérer en Europe tout en revendiquant une immunité vis-à-vis de sa juridiction.
Les modèles d’IA de DeepSeek ont été trouvés avec des taux d’hallucination alarmants, des recherches montrant que le modèle DeepSeek R1 présente un taux d’hallucination de 14,3 %, soit près de quatre fois supérieur à celui de son prédécesseur DeepSeek V3 (3,9 %). Ces hallucinations—des cas où l’IA fabrique de fausses informations tout en les présentant comme factuelles—posent de graves risques, notamment la diffusion de désinformation, des décisions commerciales erronées, l’exposition de la propriété intellectuelle et des violations de conformité réglementaire. Les tests de sécurité ont révélé des statistiques encore plus préoccupantes, AppSOC rapportant que DeepSeek produisait des informations hallucinées 81 % du temps lors de leurs évaluations. De multiples évaluations de sécurité ont mis en évidence des failles critiques dans la sécurité des modèles de DeepSeek. Des chercheurs de Cisco ont découvert que DeepSeek R1 affichait un taux d’échec de 100 % lorsqu’il était testé avec des invites nuisibles du jeu de données HarmBench, ne montrant aucune résistance aux tentatives de contournement algorithmique. Le modèle a également démontré des problèmes bizarres d’auto-identification, affirmant à tort être « Claude, créé par Anthropic » ou déclarant « Mes directives sont fixées par OpenAI »—deux affirmations totalement fausses qui soulignent des problèmes fondamentaux de fiabilité. Ces vulnérabilités semblent provenir des méthodes d’entraînement économiques de DeepSeek, qui auraient pu compromettre des mécanismes de sécurité essentiels dans la quête d’un développement rapide et de coûts réduits.
Problèmes de stockage des données chinoises
Le stockage des données des utilisateurs de DeepSeek sur des serveurs chinois présente d’importantes préoccupations en matière de confidentialité et de sécurité pour les utilisateurs de l’UE. L’entreprise semble collecter de nombreuses informations personnelles—including historiques de conversations, invites saisies, métadonnées des appareils, adresses IP et analyses comportementales—tout en stockant ces données en Chine sans mettre en œuvre les garanties exigées par le RGPD pour les transferts internationaux de données. Cette pratique est particulièrement problématique car la Chine n’est pas considérée comme offrant une protection adéquate des données selon les normes de l’UE, et les lois chinoises sur la sécurité nationale pourraient potentiellement obliger DeepSeek à remettre les données des utilisateurs européens aux autorités gouvernementales. Plusieurs autorités européennes de protection des données ont lancé des enquêtes sur ces pratiques. Le Garante italien a ordonné à DeepSeek de bloquer l’accès à son application R1 en Italie après que l’entreprise n’a pas répondu aux préoccupations concernant ses pratiques de stockage des données. La Belgique, les Pays-Bas, la France et l’Irlande ont également lancé des demandes d’information afin de déterminer si la collecte de données par DeepSeek enfreint le RGPD en transférant des données personnelles vers la Chine. La politique de confidentialité de DeepSeek ne mentionne notamment aucune Clause Contractuelle Type ni aucun autre mécanisme juridique requis pour permettre des transferts légaux de données de l’UE vers la Chine, ce qui soulève de sérieuses questions quant à l’engagement de l’entreprise envers les normes européennes de protection des données.
